Persónuverndaryfirlýsing Vegagerðarinnar

1.     Almennt
Vegagerðin, kt. 680269-2899, Borgartúni 5-7, 105 Reykjavík, er annt um friðhelgi einstaklinga og tekur persónuvernd mjög alvarlega. Vegagerðin leggur mikla áherslu á að meðferð persónuupplýsinga sé ávallt í samræmi við gildandi persónuverndarlöggjöf.

Vegagerðin starfar samkvæmt lögum nr. 120/2012 um Vegagerðina, framkvæmdastofnun samgöngumála og sinnir fjölbreyttum verkefnum á sviði samgöngumála. Vegagerðin er veghaldari þjóðvega samkvæmt lögum nr. 80/2007 sem merkir að Vegagerðin hefur forræði yfir vegi og vegsvæði, þar með talið vegagerð, þjónustu og viðhaldi á vegum.

Í þessari persónuverndaryfirlýsingu má sjá hvaða persónuupplýsingum Vegagerðin safnar um einstaklinga og í hvaða tilgangi. Þá má hér finna upplýsingar um aðra viðtakendur upplýsinganna og hvað þær eru geymdar lengi. Auk þess má hér finna upplýsingar um á hvaða grundvelli Vegagerðin safnar persónuupplýsingum, hvaða réttinda einstaklingar njóta og fleiri mikilvægar upplýsingar sem tengjast lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (hér eftir persónuverndarlög). 

2.     Hvað eru persónuupplýsingar og vinnsla persónuupplýsinga?
Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu, heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira. Í 2. og 3. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á persónuupplýsingum.

Með vinnslu persónuupplýsinga er átt við alla meðferð og notkun persónuupplýsinga svo sem söfnun, skráningu, varðveislu, breytingu eða eyðingu. Í 4. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á vinnslu persónuupplýsinga.

3.      Hvernig vinnur Vegagerðin persónuupplýsingar?
Hjá Vegagerðinni fer vinnsla persónuupplýsinga fram á lögmætum grundvelli og í samræmi við persónuverndarlög. Vegagerðin gætir jafnframt að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar.  Vegagerðin gætir að því að farið sé að eftirfarandi meginreglum:

  1. Að persónuupplýsingar séu unnar með sanngjörnum hætti.
  2. Að persónuupplýsingum sé einungis safnað í skýrum tilgangi.
  3. Að ekki sé safnað meiri persónuupplýsingum en nauðsynlegt er.
  4. Að persónuupplýsingar séu nákvæmar og uppfærðar þegar þörf krefur.
  5. Að persónuupplýsingar séu ekki geymdar lengur en þörf er á.
  6. Að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.

4.     Um hverja safnar Vegagerðin persónuupplýsingum?
Í starfsemi Vegagerðarinnar er nauðsynlegt að safna og vinna með persónuupplýsingar um mismunandi hópa einstaklinga. Þær persónuupplýsingar sem stofnunin hefur undir höndum geta verið um:

  •  starfsmenn þess,
  • eignarhald á fasteignum
  • setu einstaklinga í stjórnum félaga,
  • og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.

5.      Hvaða persónuupplýsingum safnar Vegagerðin?
Vegagerðin safnar ólíkum persónuupplýsingum um mismunandi hópa einstaklinga eftir því um hvaða starfsemi er að ræða. Undir öllum kringumstæðum leitast Vegagerðin við að safna einungis þeim persónuupplýsingum sem nauðsynlegar eru með hliðsjón af tilgangi vinnslunnar.

Vegagerðin safnar nauðsynlegum upplýsingum um starfsfólk, til dæmis upplýsingum um nafn, kennitölu, heimilisfang, símanúmer, viðveru, laun og fleira.

6.     Tilgangurinn með söfnun persónuupplýsinga
Tilgangurinn með söfnun upplýsinganna er að:

  • Geta efnt samningsskyldu, til dæmis við starfsmenn.
  • Geta veitt ákveðna þjónustu, til dæmis við vegfarendur.
  • Gæta að lögmætum hagsmunum stofnunarinnar.
  • Gæta að lögmætum hagsmunum annarra.
  • Uppfylla lagaskyldur.

7.      Lagagrundvöllur fyrir vinnslu persónuupplýsinga
Vegagerðin safnar og vinnur persónuupplýsingar á eftirfarandi lagagrundvelli:

  • Til að uppfylla lagaskyldu.
  • Til að uppfylla samningsskyldu.
  • Á grundvelli samþykkis einstaklinga.
  • Við verkefni í þágu almannahagsmuna eða beitingu opinbers valds.
  • Til að unnt sé að stofna, hafa uppi eða verja réttarkröfu.

8.     Hve lengi geymir Vegagerðin persónuupplýsingar?
Vegagerðin er afhendingarskyldur aðili samkvæmt lögum um opinber skjalasöfn nr. 77/2014. Vegna þess er stofnuninni óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið þeirra laga nema með heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem stofnunin vinnur afhentar Þjóðskjalasafni að þrjátíu árum liðnum. Efni sem verður til við rafræna vöktun er geymt í samræmi við reglur um rafræna vöktun nr. 837/2006. Að öðru leyti eru persónuupplýsingar hjá Vegagerðinni geymdar í þann tíma sem nauðsynlegt er fyrir stofnunina að hafa þær undir höndum.

9.     Frá hverjum safnar Vegagerðin persónuupplýsingum?
Þá safnar Vegagerðin að meginstefnu til persónuupplýsingum beint frá þeim einstaklingum sem um ræðir en styðst einnig við opinberar skrár og upplýsingar frá öðrum stjórnvöldum í vinnslu sinni. Þegar og ef upplýsingum er safnað frá öðrum þriðju aðilum reynir stofnunin eftir fremsta megni að upplýsa viðkomandi um það.

10.   Hvenær miðlar Vegagerðin persónuupplýsingum til þriðju aðila og af hverju?
Vegagerðin miðlar persónuupplýsingum til þriðju aðila sem eru ráðnir af stofnuninni til að vinna fyrir fram ákveðna vinnu, svo sem þjónustuveitendur, sem sjá um að geyma gögn meðal annars og verktakar. Í þeim tilfellum gerir stofnunin vinnslusamning við viðkomandi aðila. Slíkur samningur kveður meðal annars á um skyldu hans til að fylgja fyrirmælum stofnunarinnar um meðferð persónuupplýsinga og er honum óheimilt að nota þær í öðrum tilgangi. Jafnframt ber honum skylda til að tryggja öryggi upplýsinganna með viðeigandi hætti.

Í öðrum tilvikum getur einnig verið nauðsynlegt fyrir stofnunina að miðla persónuupplýsingum til þriðju aðila, til dæmis þegar skylda stendur til þess samkvæmt lögum, til dæmis skjalasafns í samræmi við lög um opinber skjalasöfn nr. 77/2014, almennings í samræmi við upplýsingalög nr. 140/2012 og aðila stjórnsýslumáls í samræmi við stjórnsýslulög nr. 37/1993. Að auki er stofnuninni heimilt að miðla upplýsingum til lögreglu og rannsóknarnefndar samgönguslysa þegar rannsakað er sakamál, mannshvarf eða samgönguslys, sbr. lög um Vegagerðina, og framkvæmdastofnun samgöngumála, nr. 120/2012.

11.   Flutningur persónuupplýsinga út fyrir Evrópska efnahagssvæðið
Vegagerðinni er kunnugt um að ströng skilyrði gilda um flutning persónuupplýsinga til ríkja sem staðsett eru utan Evrópska efnahagssvæðisins. Vegagerðin gerir það ekki undir neinum kringumstæðum nema fullnægjandi heimild standi til þess samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.

12.   Öryggi upplýsinganna
Vegagerðin leitast við að grípa til viðeigandi tæknilegra og skipulegra öryggisráðstafana til að tryggja öryggi persónuupplýsinga í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018. Felur það meðal annars í sér að aðeins þeir starfsmenn hafa aðgang að persónuupplýsingum sem þess þurfa starfs síns vegna.

Auk þess stuðlar stofnunin að aukinni vitundarvakningu hjá starfsmönnum með reglulegri þjálfun og fræðslu um hvernig gæta skal að öryggi persónuupplýsinga.

13.   Rafræn vöktun
Til að fylgjast með færð, veðri, umferð og ástandi á vegakerfinu og stuðla þannig að auknu samgönguöryggi viðhefur Vegagerðin rafræna vöktun með samgöngumannvirkjum í samræmi við heimild í 4. mgr. 4. gr. laga nr. 120/2012 um Vegagerðina, framkvæmdastofnun samgöngumála. Hluta þeirra upplýsinga sem safnað er með vöktuninni er miðlað áfram til vegfarenda með birtingu á heimasíðu Vegagerðarinnar en leitast er við að tryggja að birt myndefni sé ekki persónugreinanlegt.

14.   Réttindi einstaklinga
Hafi einstaklingar veitt samþykki fyrir vinnslu tiltekinna persónuupplýsinga eiga þeir rétt samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 að afturkalla samþykki sitt hvenær sem er. Sá réttur hefur þó ekki áhrif á lögmæti þeirrar vinnslu sem fram fór áður en samþykki var afturkallað. Þá njóta þeir einnig annarra réttinda, svo sem réttar til að vera upplýstir um vinnslu, réttar til aðgangs að gögnum, réttar til að fá rangar eða villandi upplýsingar leiðréttar, réttar til að persónuupplýsingum verði eytt, réttar til að hindra að unnið verði með persónuupplýsingar um þá og réttar til að flytja eigin upplýsingar. Hafa skal í huga að réttindi einstaklinga eru ekki alltaf fortakslaus og kunna að vera háð ýmsum skilyrðum.

15.   Samskiptaupplýsingar Vegagerðarinnar
Nafn: Vegagerðin

Heimilisfang: Borgartúni 5-7, 105 Reykjavík.

Netfang: vegagerdin@vegagerdin.is

Símanúmer: 522 1000.

16.   Persónuverndarfulltrúi
Hafi einstaklingar frekari spurningar um persónuverndaryfirlýsingu þessa geta þeir ávallt haft samband við persónuverndarfulltrúann okkar. Þetta eru samskiptaupplýsingarnar hjá honum:

Nafn: Dattaca Labs Iceland ehf.

Heimilisfang: Grandagarður 16, 101 Reykjavík.

Netfang: dpo@dattacalabs.com

Símanúmer: 517 3444.

17.   Réttur til að leggja fram kvörtun hjá Persónuvernd
Dragi einstaklingar í efa að Vegagerðin meðhöndli persónuupplýsingar þeirra í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 hafa þeir rétt til að senda erindi til Persónuverndar (www.personuvernd.is).

18. Endurskoðun á þessari persónuverndaryfirlýsingu
Persónuverndaryfirlýsing þessi getur frá einum tíma til annars tekið breytingum í samræmi við breytingar á viðeigandi lögum og reglugerðum eða ef breytingar verða gerðar á því hvernig Vegagerðin vinnur með persónuupplýsingar. Verði breytingar gerðar á persónuverndaryfirlýsingu þessari verður tilkynnt um slíkt á heimasíðu stofnunarinnar www.vegagerdin.is  

Eftir að breytingar hafa verið gerðar á persónuverndaryfirlýsingu taka þær gildi þegar uppfærð útgáfa hefur verið birt.

Persónuverndaryfirlýsing þessi var samþykkt 21.09.2020.

Viðbót 28.7.2021:
Heimilsfang Vegagerðarinnar er nú Suðurhraun 3, Garðabæ